Australia, o țară non-UE, conștientizează impactul GDPR asupra mediului său de afaceri

 

 

Ion IORDACHE

Ion Iordache este managing director și fondator al companiei iQuality Services Pty. Ltd. din Melbourne, Australia, consultant și trainer pentru RQM Cert din Timișoara, România. 

 

Poate fi contactat la adresa: ion@ioniordache.com,

https://iqualityservices.com.au

Prin luna februarie 2017, în cadrul unui curs „Certified ISO/IEC 27001 Lead Auditor” organizat de iQuality Services la Melbourne le-am spus cursanţilor că în Europa a intrat în vigoare noul Regulament European General de Protecţia Datelor (GDPR) care se va aplica începând cu data de 25 mai 2018.

Așa am constatat că interesul lor pentru GDPR este destul de mare pentru că știau despre ce este vorba. La acea dată în Australia se luaseră deja primele măsuri de informare asupra cerințelor GDPR și chiar erau propuse modificări legislative semnificative privind securitatea datelor personale. În Australia există, încă din 1988, o legislație specifică privind confidențialitatea („The Privacy Act”) care este fundamentul reglementării vieții private în Australia. Anul acesta, „The Privacy Act” a fost modificat și a fost stabilit un regim de notificare obligatorie a încălcărilor de date „eligibile”. Poate că nu a fost chiar întâmplătoare introducerea acestor modificări în „House of Representatives” la 19 octombrie 2016. GDPR a intrat în vigoare pe data de 25 mai 2018.

Odată cu intrarea în vigoare a GDPR, companiile australiene care de regulă au adoptat o abordare mai transparentă și destul de conciliantă față de confidențialitatea datelor personale sunt puse în fața unei noi provocări atât datorită prevederilor proprii legislații cât și a GDPR. Autoritatea de reglementare australiană, responsabilă cu aplicarea „The Privacy Act”, OAIC (Office of the Australian Information Commissioner) a publicat, în luna mai 2017, un Ghid foarte bine documentat cu noi orientări pentru companiile australiene cu privire la cerințele GDPR în care se precizează, cu exemple și tabele comparative, că GDPR include cerințe care seamănă cu cele din „The Privacy Act” și sunt prezentate măsurile suplimentare ce urmăresc promovarea unor practici transparente de gestionare a informațiilor și a responsabilităților companiilor în ceea ce privește manipularea datelor.

OAIC a făcut o publicitate susținută GDPR și a încurajat companiile private de orice mărime ar fi ele și entitățile din sectorul public să-și revizuiască practicile de confidențialitate și nivelul de respectare a obligațiilor lor în conformitate cu GDPR și să ia măsuri immediate pentru a se asigura că practicile lor de colectare și manipulare a datelor personale respectă Regulamentul, înainte de data punerii sale în aplicare.

Pentru toate organizațiile australiene, prelucrarea datelor despre angajați constituie un motiv de îngrijorare. Conform legislației australiene de confidențialitate, există o serie de scutiri pentru unii angajatori din sectorul privat care gestionează informațiile personale ale angajaților dar nu există o astfel de exceptare în cadrul GDPR. Prin urmare, orice organizație australiană care deține sau procesează datele angajaților săi rezidenți din UE trebuie să-și revizuiască, imediat, practicile de prelucrare a datelor referitoare la aceștia, să determine eficiența practicilor lor de informare și de securitate și să pună în aplicare măsuri pentru a asigura conformitatea cu GDPR.

Un alt motiv de îngrijorare pentru companiile australiene este acela generat de valorile uriașe ale amenzilor pentru încălcarea GDPR. Deși GDPR ar putea să nu se afle pe lista de priorități pentru multe companii australiene, acestea ar putea primi amenzi foarte mari dacă încalcă GDPR după intrarea sa în vigoare la 25 mai 2018. Guvernul australian a cerut tuturor departamentelor guvernamentale și organismelor publice să-și revizuiască în mod corespunzător practicile de prelucrare a datelor din UE, inclusiv cu furnizorii terți, pentru a evalua expunerea acestora. O cerință obligatorie pentru toate autoritățile publice australiene: în cazul în care activitățile de prelucrare ale unei autorități publice intră sub incidența articolului 3 din GDPR, pe lângă obligațiile sale generale, există, de asemenea, obligativitatea de numire a unui Data Protection Officer (DPO). La o conferință găzduită în luna mai 2017 de OAIC, The Privacy Commissioner, Timothy Pilgrim, a subliniat în mod expres importanța GDPR pentru companiile australiene și a avertizat că OAIC va urmări cu atenție conformarea acestora cu GDPR.

Există însă și o veste bună. Având în vedere asemănările dintre GDPR și „The Privacy Act” (în special existența în cadrul acestuia a principiilor australiene de confidențialitate) privind informațiile personale și manipularea datelor personale, companiile australiene ar putea avea deja unele măsuri impuse în cadrul GDPR.

Avantajul Australiei, fața de foarte multe alte țări este acela că are o industrie și o cultură a dezvoltării profesionale continue foarte bună. Companiile private și toate organizațiile guvernamentale privesc formarea profesională continuă ca pe o investiție extrem de rentabilă pentru care alocă resurse importante. Acesta este unul din motivele principale pentru care o companie australiană nu va desemna pe cineva pe o funcție așa de importantă ca DPO fără să-i asigure acestuia accesul la o formare de calitate și nici nu va angaja prea ușor pe cineva care doar pretinde că știe ce trebuie să facă chiar dacă va scoate la interviul de angajare un dosar de diplome şi certificate. Am observat acest lucru în cei câțiva ani de când compania mea, iQuality Services, oferă servicii de training și consultantă pe piața din Australia unde cursanții, niciodată, nu mi-au dat impresia că sunt dispuși să plătească pentru a obține doar o hârtie.

În ultimii doi ani, datorită informărilor sistematice pe care OAIC și alte agenții guvernamentale le fac, a crescut semnificativ interesul pentru două cursuri din portofoliul nostru: ”PECB Certified ISO/IEC 27001 Lead Implementer” şi ”PECB Certified Data Protection Officer”. Datorită interesului pieței, am creat o serie nouă de cursuri de nivel avansat: ”Advanced Implementation – Information Security Management System based on ISO/IEC 27001:2013” şi ”Advanced Implementation the European Union’s General Data Protection Regulation (GDPR) Requirements”.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 58-60.

 

 

Advertisements

Cei șapte ani de-acasă în politica de Cookies

 

Tudor GALOS

Tudor Galoș a fost director de marketing pe consumer la Microsoft România vreme de șase ani și înainte de asta s-a ocupat de business-ul de Windows și Office pe România, Bulgaria și Europa de Sud-Est, fiind responsabil de lansări precum Windows Vista, Windows 7, Windows 10, Office 2003, Office 2007, Office 365 și multe alte produse și servicii. A lucrat cu firme mici, medii și mari din întreaga Europă. Din Septembrie 2017 coordonează propriul său business, Tudor Galos Consulting cu focus pe consultanța de business și management în zona start-up-urilor, a spin-off-urilor și a transformării digitale. Tudor privește alinierea la GDPR ca pe un proiect de transformare digitală ce începe cu oamenii – modul în care ei învață, înțeleg și adoptă importanța datelor personale și a respectării lor în toți pașii unei procesări.

 

Am scris în articolul anterior din catalogul GDPR despre faptul că este obligatoriu ca orice proiect de aliniere la normele GDPR să aibă o abordare concentrată pe oameni. Omul este cel mai important element al oricărei inițiative de conformitate la un nou regulament, la un nou standard.

Omul este cel care conduce schimbarea, cel care face lucrurile să se întâmple, dar și cel care creează cele mai mari blocaje în implementări. Cele mai bune politici de conformitate se opresc în Dorei ce nu doresc schimbarea și care „știu ei mai bine” că „merge și-așa”, că „nu se prinde nimeni” și că „facem să fie bine ca să nu fie rău”. Dorel este și cel care spune fix ca în bancul cu românul la Zoo care când vede girafa își pune mâinile în șold supărat și zice „așa ceva nu există”.

Până de curând GDPR nu a existat pentru nimeni deși el „există” de peste doi ani. Lipsa comunicării, lipsa încrederii, convingerea că cineva va veni și va face magie și va suspenda aplicarea GDPR au dus la o situație în care (estimarea mea proprie și personală) peste 90% din firmele din România nu au făcut absolut nimic pentru a se alinia la normele GDPR. Este o estimare bazată pe conversațiile cu diverșii consultanți, firme de consultanță, clienți, etc.

Și matematica ne susține această cifră: în România sunt cam 700 – 800.000 de firme active. Dacă 10% ar fi început proiecte de aliniere la GDPR am fi vorbit de 80.000 de proiecte coordonate de minim 80.000 de oameni (dacă este să ne gândim că este nevoie de minim un om pe companie implicat într-un proiect de GDPR). Nu, dragilor, nu suntem atâția, ar fi gemut Facebook-ul de experți. Și deși pe Facebook au explodat ofertele de consultanță GDPR, nu apar niciunde 80.000 de proiecte. Închidem matematica aici și trecem la discuția pe zona digitală, unde lucrurile sunt mult mai interesante.

Site-urile reprezintă principalul punct de acces în organizații. Dacă pe vremuri vorbeam de cărțile de vizită ale managerilor dintr-o organizație ca fiind principalul vector de contact, astăzi site-ul este principalul vector de contact. Modul în care site-ul este organizat, optimizat, indexat, contribuie decisiv la succesul sau drumul spre mormânt al firmei. Peste 90% din tranzacțiile B2B sunt pornite printr-o căutare pe net, căutare care aterizează într-un site. Și totuși în aceste ultime zile site-urile au fost printre cele mai batjocorite din punct de vedere al conformității la GDPR.

Începem cu formularele de consimțământ. Au ajuns site-urile să îți ceară consimțământ pentru orice. O importantă linie aeriană românească cere consimțământ de prelucrare a datelor în momentul în care vrei să plătești biletul de avion online cu toate că are deja temeiul legal pentru prelucrarea acestor date. Și stai și te uiți și te întrebi cine o fi realizat acest frumos mecanism de pierdut click-uri, lead-uri și bani. Continuăm cu site-urile care cer consimțământ la consimțământ și care deja au devenit inutilizabile pentru simplul motiv că și-au luat ca și consultant GDPR un student la drept care a citit legea la o bere și care acum își dă cu părerea în zona de digital după ce a petrecut și el câteva ore pe la pariuri sportive (și ca să fiu cu totul și cu totul rău, așa se naște noua generație de „digital experts”).

Oameni buni, nu vă bateți joc de consumer journey (drumul cumpărătorului pe limba noastră dulce românească). Orice click în plus, orice pas în plus înseamnă mii de EUR pierdute (ok, pentru unii zeci de mii dar nu ne pierdem în zero-uri). Există modalități inteligente de a optimiza fluxul de date într-un site găsind temeiurile legale potrivite și cerând consimțământ doar acolo unde este strict nevoie (de exemplu pentru cookie-uri – vorbim mai jos de ele – sau pentru înscrierea la un newsletter).

Și că tot am ajuns la subiectul cookies, lacrimile au curs șiroaie zilele acestea pe site-uri în ceea ce privește cookie-urile. Aici digital super-gurus-super-experts-black-belt-ninjas s-au trezit în fața unei alegeri: lăsăm utilizatorul să aleagă dacă rulează sau nu cookie-urile (astfel fiind GDPR-compliant) și pierdem orice șansă de remarketing/ retargeting/ profilare sau îi băgăm pe gât cu forța cookie-urile pe principiul „mi-a sfințit preotul site-ul și nu vine autoritatea să mă verifice”.

Înainte de a trata subiectul cookie-urilor trebuie să înțelegem puțin principiul cheie al GDPR: „ce ție nu-ți place altuia nu-i face” (Give Data Proper Respect). Și de asemenea trebuie să înțelegem foarte bine ce înseamnă date cu caracter personal. Și mai trebuie să luăm în calcul poziția IAB, Internet Advertising Bureau, o asociație care stabilește normele și ghidurile de bune practici în ceea ce înseamnă publicitatea online.

„Ce ție nu-ți place” – toată lumea s-a șocat când a auzit de Facebook și Cambridge Analytica și de faptul că sunt milioane de alți jucători ce fac chestii similare la o scară mai mică sau chiar mai mare. Unul din instrumentele folosite pentru profilarea utilizatorilor poate fi chiar cookieul. Un cookie este un fișier text pe care un site îl trimite browserului să-l stocheze pe dispozitiv pentru a reţine informații despre utilizator: informații de conectare, preferințe de limbă dar și pentru a urmări utilizatorul pe unde se „plimbă” pentru a-i oferi conținut și reclame mai re levante. Practic pentru a-l profila, mai bine sau mai prost. Cookie-ul poate să nici nu fie neapărat al site-ului ci al unei părți terțe iar tu ca utilizator să nici nu știi că cineva te urmărește.

Dar cum să știe că tu ești, să zicem, Ion Popescu din Dragomirești-Deal? Și aici vine noțiunea de „date cu caracter personal”. Spre diferență de PII – personal identifiable information – datele cu caracter personal reprezintă orice informații sau seturi de informații ce pot duce la identificarea unei persoane direct sau indirect. Adică nu trebuie tu să știi că un cookie este al lui Ion Popescu ci o mașină să fie în stare să îl identifice pe Ion Popescu doar pe baza comportamentului său online. Sau legând efectiv diverse informații despre un anumit IP sau alt identificator online. Mulți dintre clienții mei s-au șocat să vadă ce a fost în stare să determine de exemplu Google despre ei doar pe baza comportamentului lor online (și Google este unul dintre jucătorii foarte transparenți!).

Ce zice IAB? IAB a publicat un framework, un set de bune practici denumit Transparency Consent Framework – dezbaterea, prezentările și modurile de implementare le regăsiți la http://advertisingconsent.eu/ . Dincolo de prezentarea framework-ului IAB-ul dă trei seturi de recomandări pentru consimțământul asupra cookie-urilor:

  • consimțământ/ respingere pentru TOATE cookie-urile ne-necesare site-ului (cele de care nu depinde funcționarea siteului, cum ar fi cele statistice și de marketing),
  • consimțământ/respingere pentru SCOPUL cookie-urilor (de marketing, de statistică etc),
  • consimțământ/respingere pentru VENDOR-ul cookie-urilor (Google, Taboola etc). Implicit cookie-urile ne-necesare trebuie să fie oprite, cu excepția cazului în care există un TEMEI LEGAL ca ele să fie pornite.

Și aici vine de fapt inspirația și creativitatea departamentelor de marketing în a găsi temeiul legal pentru care poți urmări utilizatorii (de exemplu interesul legitim al operatorului când acesta prevalează asupra drepturilor și libertăților persoanelor vizate – dar este genul de temei legal ușor contestabil deci ai trebuie să decizi dacă merită sau nu riscul).

Oricum se recomandă instalarea unui Cookie Consent Tool care de obicei îți oferă modalități granulare de consimțământ. Cu această ocazie de obicei clienții mei descoperă o tonă de cookie-uri de care nu mai au nevoie, uitate prin diverse colțuri ale site-ului. Și se face curățenia generală. Însă contează mult să îți dai seama exact ce vrei exact cu cookieurile tale, de ce ai nevoie de ele. Pentru că doar așa îți dai seama dacă este business-critical să menții un cookie, să fii sigur că datele personale ce pleacă prin acel cookie la un terț sunt bine protejate și nu sunt folosite în alte scopuri și să îți convingi utilizatorii să creadă în cookie-urile tale și în site-ul tău.

Și, ghici ce, asta ține fix de „ce ție nu-ți place…”. Ține de cei șapte ani de acasă…

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 55-57. 

Despre GDPR și respectul pentru interlocutor

 

 

Anca CRAHMALIUC

Anca Crahmaliuc este expert în domeniul Corporate Affairs, PR și Marketing B2B, cu experiență exhaustivă in coordonarea de activități și echipe Marketing & Communications în organizații multinaționale. Este absolventă a programului MBA dezvoltat de Tiffin University în parteneriat cu Universitatea București.

 

 

Mai există viață în marketingul B2B după 25 mai 2018?

Cu siguranță. Intrarea în funcțiune a regulamentului european referitor la protecția datelor personale nu numai că nu diminuează valoarea acțiunilor de marketing, ci o crește semnificativ din punct de vedere calitativ. Cum? Prin credibilizare și eficientizare.

Este evident că, mai ales în ultimul deceniu, evoluția amețitoare a mijloacelor electronice de comunicare a condus la o creștere exponențială a mesajelor de marketing. Multe, tot mai multe. Le citește cineva? Nu știm și nu contează. Să fie cât mai multe, adresate cât mai multor persoane. Sunt aceste persoane în grupul nostru țintă? Nu prea știm și nici nu prea contează.

Dacă sunt mulți, poate s-or și nimeri destui care să fie între cei care ne-ar putea fi potențiali clienți. Nu cumva îi spamăm? N-au decât să-și pună filtre… Și dacă nu știu să facă asta? Atunci să șteargă mesajele și gata…

Am consemnat o succesiune de posibile întrebări și răspunsuri schimbate în ultimii ani între oamenii din departamentele de vânzări și marketing dintr-o organizație din orice industrie. Vânzările sunt esențiale pentru supraviețuirea companiei. Deci, să facem cât mai multe vânzări. Eventuale obiecții ridicate timid pot fi interpretate ca o lipsă de interes pentru soarta firmei…deci nu le mai ridicăm. Și totuși….ce șanse sunt ca o persoană complet neinteresată de produsele noastre să le și cumpere? Nu cumva agresând-o cu informații nesolicitate vom genera chiar o reacție de adversitate?

Prevederile GDPR se aplică în orice situație sunt prelucrate „date cu caracter personal”. Acest lucru înseamnă că ele includ toate persoanele identificate în mod direct sau indirect, și chiar dacă ele au alocări profesionale declarate. Pe scurt, dacă dețineți numele și un număr de telefon și/sau o adresă de email ale unui contact de business, ele intră sub incidența regulilor GDPR.

Este nevoie ca orice acțiune de marketing B2B să se bazeze pe consimțământ?

Nu chiar totdeauna. Consimțământul este o bază legală pentru procesarea datelor, dar pot exista situații în care acțiuni de marketing B2B să fie justificate de „interese legitime”. Chiar și în acest caz însă, uneori, e nevoie de consimțământ pentru a respecta prevederile Privacy and Electronic Communications Regulations cunoscut și ca ePrivacy.

Când ne putem baza în acțiunile de marketing B2B pe interesul legitim?

Interesul legitim poate justifica activități de marketing B2B dacă puteți arăta că modul în care folosiți datele personale este proporționat, are impact minim asupra intimității oamenilor, iar probabilitatea ca adresanții mesajelor de marketing să fie surprinși de acțiunile dv sau chiar să obiecteze față de acestea să fie minimă – dar numai cu condiția să nu intrați sub incidența ePrivacy. GDPR nu înlocuiește ePrivacy – trebuie să respectați prevederile ambelor prevederi legislative în activitățile dv. de marketing B2B.

UE este pe cale să înlocuiască actuala lege privind ePrivacy cu noua ePrivacy Regulation (ePR). Cu toate acestea, noul ePR nu este încă aprobat și, în consecință, continuă să se aplice actualele reguli ePrivacy (cu o nouă definiție pentru consimțământ) până când noul ePR va fi finalizat.

Consimțământul implică punerea la dispoziția persoanelor a unor mijloace reale de alegere și control. Un consimțământ autentic responsabilizează persoana care îl oferă, construiește o relație bazată pe încredere și angajament și vă consolidează reputația. Oferirea consimțământului trebuie să fie evidentă și necesită o acțiune pozitivă, manifestată prin opt-in. Solicitarea consimțământului trebuie să fie proeminentă, neîngrădită de alți termeni sau condiționări, formulate concis, ușor de înțeles și utilizat de către adresant. Operatorul care cere consimțământul trebuie să-și comunice numele, scopurile și tipurile de activități de prelucrare a datelor cu caracter personal. Nu în ultimul rând, celui care a oferit consimțământul trebuie să i se garanteze posibilitatea de a-l retrage ușor, în orice moment dorește acest lucru.

Cum și cui trimitem mesaje de marketing B2B?

Comercianții individuali și unii parteneri sunt tratați ca persoane fizice așa că puteți să le trimiteți mesaje de marketing numai pe bază de consimțământ exprimat explicit sau dacă au cumpărat un produs similar de la dv în trecut și nu au activat opțiunea opt-out când le-ați oferit această posibilitate. Trebuie totuși să includeți în mesaj opțiunile de „opt-out” sau „unsubscribe”.

Puteți transmite mesaje de marketing către orice instituție publică sau privată (de exemplu pe adrese de mail de tip office@organizatie.xxx). Este, totuși, recomandabil și uzual în sensul bunelor practici de business să aveți o listă de tip „nu trimite mesaj” cuprinzând organizațiile care obiectează sau își exprimă opțiunea de opt out, și să aveți grijă să verificați că nu se regăsește în nicio campanie de marketing pe care o desfășurați.

Atunci când trimiteți pe mail mesaje de marketing către angajații oricărei organizații care au adrese de business personale (de exemplu prenume.nume@organizație.xxx) se aplică toate prevederile GDPR.

Ce se întâmplă cu telemarketingul?

Puteți apela telefonic orice organizație de la care ați obținut consimțământul în acest sens, de exemplu prin bifarea opțiunii „opt in”. De asemenea, puteți telefona la orice organizație aflată pe liste publice, cu condiția ca acestea să nu se fi opus în trecut să le contactați. Și în acest caz se impune existența unei liste de tip „nu suna”.

Regulile privind apelurile automate sunt mai stricte. Utilizarea sistemelor de apelare automată, cu redarea unui mesaj înregistrat, nu se poate face în absența unui consimțământ explicit referitor la acest tip de abordare. Consimțământul general dat pentru acțiuni de marketing sau chiar pentru apeluri directe nu acoperă apelurile automate.

În mod evident, aceste prevederi sunt de mult bun simț în business. Ce valoare poate avea un mesaj nedorit sau, și mai grav, transmis împotriva dorinței adresantului? Cu siguranță, nu numai că nu ajută vânzările sau notorietatea companiei, ci le ruinează…

…dar cu newsletter-ele?

Trimiterea de newslettere și campaniile de emailing în general sunt asimilate acțiunilor generale de marketing B2B. În consecință, procesarea datelor cu caracter personal implicate necesită acordul explicit. Procesarea este permisă pe bază de consimțământ sau o justificare legală. De exemplu, o astfel de situație se întâlnește când între cei care trimit și cei care primesc mesajele de marketing exista o relație relevantă, proporționată. Comunicarea cu clienții existenți sau persoanele pentru care se prestează anumite servicii ar putea să se desfășoare fără consimțământ.

De asemenea, dacă o companie are un interes justificat pentru a se prezenta pentru prima data în fața unor potențiali clienți (cold acquisition) o poate face prin email marketing fără consimțământ. Aceștia din urmă își pot exprima opțiunea de a nu mai primi informații prin newsletter sau email, respectiv de a nu li se folosi datele pentru scopuri de marketing. Trebuie avut în vedere că prin coroborarea articolului 95 din GDPR cu articolul 13, paragraf 1 din directive ePrivacy 2002/58 reiese că în acest moment, emailingul nu se poate realiza decât pe bază de consimțământ.

Să recapitulăm

Trebuie să le spuneți oamenilor:

  • ce faceți cu datele lor,
  • care sunt scopurile pentru care procesați datele,
  • care este baza legală care permite procesarea informațiilor
  • cât timp doriți să păstrați datele cu caracter personal
  • cu cine partajați informațiile despre ei

Dacă faceți acțiuni de marketing direct în care vă bazați pe interesul legitim, adresanții au în mod absolut dreptul de a obiecta și sunteți obligați să opriți procesarea datelor care îi privesc.

Dacă acțiunile dv de marketing se desfășoară pe bază de consimțământ, persoanele care l-au oferit au dreptul să și-l retragă în orice moment. Atunci, trebuie să opriți procesarea. În fond, GDPR este despre modul în care trebuie să ne purtăm unii cu alții. Ce ție nu-ți place, altuia nu-i face… că aproape sigur nu-i place.

GDPR va implica unele costuri suplimentare și pe partea de marketing. Pe de-altă parte, vor fi mai bine folosiți banii irosiți în construirea de baze de date nerelevante și campanii gândite strict din perspective cantitative. Rata de răspuns infimă a campaniilor de emailing sau dialogurile tensionate purtate de operatorii de telemarketing spun fără echivoc același lucru: și marketingul B2B trebuie făcut cu respect pentru interlocutor.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 47-50. 

Aplicarea regulamentului GDPR pentru departamentele de HR şi firmele de recrutare

Dana Cristina MATACHE 

 

Dana Cristina Matache este Avocat corporate cu experiență multisectorială, specializată în Protecția Datelor cu Caracter Personal, membră a Baroului București din anul 2009. În ultimii doi ani, a oferit asistență juridică și servicii de reprezentare în instanță unei bănci importante în a face față unui val de litigii. Anterior, a asistat o companie din domeniul petrolier cu scopul gestionării unui volum de litigii de muncă fără precedent.

 

În sfârșit, a venit și a și trecut ziua de 25 mai 2018 și Regulamentul este aplicabil. Regulamentul se aplică atât asupra departamentelor de HR din cadrul Companiilor cât şi asupra firmelor de recrutare. Voi analiza pe scurt câteva aspecte aplicate din perspectiva noului Regulament în domeniul relațiilor de muncă şi procedura de recrutare.

Resurse Umane (Human Resources/HR)

Noul Regulament impune obligații stringente care se vor aplica Companiilor în raporturile de muncă. Companiile sunt obligate să comunice angajaților/salariaților printr-o notificare faptul ca datele deținute sunt confidențiale, care sunt datele cu caracter personal pe care Compania le deține, care este scopul şi temeiul juridic în baza căruia se procesează datele cu caracter personal, care este perioada de retenție a datelor cu caracter personal și dacă există un transfer de date cu caracter personal în afara României.

De asemenea, conform art. 13 din Regulament, angajații/salariații trebuie să cunoască faptul că au dreptul de a solicita Companiilor accesarea şi modificarea datelor cu caracter personal. În situația în care Compania are numit un DPO (Persoana Responsabilă cu Protecția Datelor cu Caracter Personal), angajații au dreptul să cunoască datele de contact ale acestuia. O obligație în plus care aparține Companiilor este de a se asigura că au informat angajații că în situația în care un drept al acestora a fost încălcat se pot adresa cu o sesizare către A.N.S.P.D.C.P sau chiar în instanță.

Firmele de Recrutare – procesul de recrutare

Un aspect care trebuie luat în considerare și care nu trebuie să fie neglijat în domeniul recrutării este cel cu privire la perioada de stocare a datelor și obținerea consimțământului din partea candidaților sau a potențialilor candidați. Ce se întâmpla cu datele personale aflate în C.V. dacă procesul de recrutare nu se finalizează cu obținerea jobului pentru care candidatul a aplicat? Recomandat este ca datele personale ale candidatului din C.V.-ul care nu a fost acceptat pentru poziția deschisă sa fie stocate până la închiderea poziției. Este bine cunoscut faptul ca bazele de date ale companiilor de recrutare dețin C.V.-uri ale candidaților care au aplicat pentru anumite joburi și care au intrat in procesul de recrutare, sau care nici măcar nu au ajuns să intre în acest proces.

Din dorința de a deține

  1. a) o bază de date cu diferite profiluri cât mai numeroasă și
  2. b) de a obține un consimțământ cât mai compliant (sic!) din partea candidaților ale căror date personale sunt astăzi stocate în campaniile de re-consent, recomand firmelor de recrutare stabilirea unor reguli. Regulile stabilite trebuie comunicate candidaților pentru a le da posibilitatea de a-și exercita dreptul la opoziție privind stocarea/prelucrarea datelor cu caracter personal.

Un prim set de recomandări către firmele de recrutare ar fi:

  1. să își stabilească a priori un număr maxim de mesaje transmise persoane vizate/ candidat în campania de re-consent; iar
  2. absența unui răspuns din partea persoanei vizate reprezintă zero informație, chiar dacă este contrar așteptărilor și interesului firmelor de recrutare.

În situația în care o persoană vizată/candidat solicită ștergerea datelor sale cu caracter personal din baza de date a firmei de recrutare, am fi tentați sa facem aplicarea art.17 din Regulament, respectiv firma de recrutare să procedeze la ștergerea informațiilor din baza de date fără întârzieri nejustificate, în același timp trebuie să consideram și cazurile în care candidatul este plasat la client și reprezintă justificarea facturării onorariului recrutorului.

Concluzionând, Companiile si firmele de recrutare sunt obligate să respecte drepturile și libertățile persoanelor ale căror date cu caracter personal le procesează, urmând ca pe parcursul acestui proces să fie transparente și să acționeze conform dispozițiilor din noul Regulament devenit aplicabil.

Acest articol a fost publicat în ”Ghidul GDPR pe Verticale” din cea de-a treia ediție a Catalogului GDPR, Iunie 2018, pag. 50-51. 

A APĂRUT EDIȚIA A TREIA A CATALOGULUI GDPR

 

 

 

Trustul de presă AGORA Group și inițiativa publică GDPR READY anunță publicarea celei de-a treia ediții a Catalogului GDPR – primul proiect editorial din România care combină un Ghid practic de implementare GDPR cu oferte de servicii și soluții pentru asigurarea conformității cu prevederile GDPR. Actuala ediție a Catalogului GDPR este dedicată soluțiilor specific pentru diferite epartamentesau verticale industriale.

 

 

 

Ceea ce se întâmplă la aproape o lună după intrarea în vigoare a noului Regulament EU 2016/ 679 demonstrează că piața românească nu este încă pregătită pentru importanța momentului. Departamentele de HR nu sunt conștiente de rolul lor de operator de date senzitive. Oamenii de marketing nu știu ce să facă cu vechile baze de date. Forțele de vânzări nu sunt instruite pentru introducerea prospecților în CRM.  Foarte puține contracte conțin clauze explicite de confidențialitate a datelor personale. Majoritatea site-urilor comerciale condiționează consimțământul clienților de accesul la conținut. Firmele mici habar nu au ce e de făcut.

Câteva constatări după momentul 25 mai:

  • Inexistența unei Politici elementare de IT la nivelul unor organizații mijlocii și mari. Chiar și acolo unde există niște norme interne, acestea nu se aplica.
  • O mare harababură privind procesarea, păstrarea și transferul datelor la nivelul departamentelor de resurse umane și a ecosistemului de parteneri care procesează datele angajaților.
  • Lipsa unei strategii clare privitoare la transparență în echipele de marketing. Se copiază și se aplică șabloane culese de pe site-uri, fără a se înțelege esența principiilor GDPR.
  • Lipsa de interes a unor manageri de departamente – altele decât HR, FINANCIAR, Juridic, IT – care cred ca ei nu au nicio responsabilitate și că e treaba altora să își bata capul cu asta…
  • Inexistența unei percepții reale privitoare la rolul pozitiv al GDPR pentru schimbarea și transformarea în bine a unei organizații. Oamenii nu au viziune de ansamblu pentru șansele lor în business, închistați fiind de necunoaștere, neînțelegere si preluarea inadecvată a unor “sfaturi de bine”. ”GDPR nu e pentru noi”, ”Nimeni nu e fericit cu GDPR-ul acesta” sau ”Suntem prea mici ca să ni se întâmple ceva” sunt expresii des întâlnite în piață.

Prin ”GHIDUL GDPR PE VERTICALE” vrem să vă oferim câteva elemente despre activitățile concrete pe care trebuie să le abordăm în funcție de problemele specifice și provocările cu care se confruntă departamentele cheie dintr-o companie, precum resursele umane, marketingul și vânzările,  de la maparea proceselor de business și a datelor, la analizele de impact și de risc și adoptarea strategiei de protecție pe termen lung și crearea unei culturi GDPR la nivel de organizație.

>> CITIȚI AICI CATALOGUL GDPR ONLINE!

Printre subiectele abordate în cadrul acestui Ghid sub forma a 25 de întrebări și răspunsuri despre B2B, IMM, HR, Marketing, Data Centere, Distribuție, ISO 27001 și Cultura GDPR pot fi menționate:

  • Ce înseamnă GDPR pentru B2B
  • Ce trebuie să facă o companie IMM pentru asigurarea conformității
  • Importanța GDPR pentru resursele umane și administrarea relațiilor cu angajații
  • Care sunt fluxurile de date în ecosistemele HR
  • Provocări pentru marketingul direct sub GDPR
  • Elemente de referință pentru o nouă strategie de marketing
  • Cum scăpăm de miturile legate de obligativitatea consimțământului
  • Impactul GDPR asupra furnizorilor de servicii datacenter și Cloud
  • Cum ne ajută standardul ISO27001 la implementarea mai ușoară a GDPR
  • Care sunt noile reguli privitoare la supravegherea video
  • Cultura GDPR și importanța pentru păstrarea conformității pe termen lung.

Ca și la edițiile anterioare, Ghidul este însoțit de recomandările unor specialiști din diferite domenii, care în actualul ghid vorbesc despre:

  • Dana Cristina MATACHE –”Aplicarea GDPR pentru departamentele de resurse umane și recrutare”
  • Tudor GALOS -”Cei 7 ani de acasă în politica de Cookies
  • Anca CRAHMALIUC –”Despre GDPR și respectul pentru interlocutor
  • Iulian MATACHE –”Provocări aduse de datele cu caracter personal in industria telecom
  • Dan Cristian MATEI –”ISO 27001 – un sprijin real pentru conformitatea  GDPR/RGPD
  • Daniel SUCIU –”Rolul și problemele departamentului IT în implementarea GDPR
  • Ion IORDACHE –”Australia, o țară non-UE conștientizează impactul GDPR asupra mediului său de afaceri

A doua secțiune este Catalogul de oferte pentru asigurarea conformității GDPR promovate de vendori, integratori și distribuitori de soluții și servicii de tehnologia informației.

Le mulțumim partenerilor de la AXIS Communications, BENTO, BINBOX, High Tech Systems & Software, Romsym Data, Star Storage, Tryamm, Veritas și Zitec pentru că au participat alături de noi la acest proiect.

Publicarea Catalogului GDPR face parte din inițiativa GDPR Ready  care reunește o mare diversitate de proiecte și activități menite să ajute operatorii și procesatorii de date personale din România:

  • Articole GDPR Explicitat – serie de 15 articole publicate în secțiunea GDPR Ready de pe site-ul cloud☁mania
  • Ghidul de orientare rapidădin Catalogul GDPR Ready – octombrie 2017
  • Ghidul de implementare GDPRdin Catalogul GDPR Practic – martie 2018
  • Broșuri și eBook-uri
  • Studii de piață și analize
  • Grup de discuții GDPR Readype LinkedIn
  • Parteneriate media
  • Organizare Evenimente GDPR
  • Moderare paneluri GDPR
  • Ședințe de instruire GDPR pentru organizații
  • Recomandări și consiliere companii de IT ”Let’s talk about GDPR”

Ca o concluzie la o lună după 25 mai, aș puncta faptul ca dincolo de inexistenta unor tehnologii adecvate care pot rezolva o bună parte din vulnerabilitățile de prelucrare și stocare a datelor cu caracter personal, principala frână în adopția GDPR sunt oamenii, care nu sunt învățați sa respecte niște norme și proceduri elementare. Și plecând de la aceasta, nu atingerea unor condiții de conformitate GDPR va fi principala problemă în orice companie, ci păstrarea acestora pe termen lung…

 

%d bloggers like this: